Recommandations en matière de sécurité

 WinClient

En suivant les étapes simples mentionnées ci-dessous, vous pourrez écarter les risques et conserver les données de votre entreprise sécurisées et protégées à tout moment.

Bon usage en matière de chiffrement

  • Assurez-vous qu’une lettre a été assignée à tous les lecteurs.

    Seuls les lecteurs auxquels une lettre a été assignée sont pris en compte pour le chiffrement/déchiffrement du disque. Les lecteurs sans lettre sont susceptibles d'entraîner des fuites de données confidentielles en texte brut.

    Pour écarter ce type de menace : ne permettez pas aux utilisateurs de changer les assignations de lettres au lecteur. Définissez leurs droits utilisateurs en conséquence. Les utilisateurs standard de Windows n'ont pas ce droit par défaut.

  • Appliquer un chiffrement initial rapide avec précaution.

    SafeGuard Enterprise propose le chiffrement initial rapide pour réduire le temps du chiffrement initial des volumes en accédant seulement à l'espace véritablement utilisé. Ce mode conduit à un état moins sécurisé si un volume a été utilisé avant son chiffrement avec SafeGuard Enterprise. À cause de leur architecture, les SSD (Solid State Disks) sont plus affectés que les disques durs standard. Ce mode est désactivé par défaut. Retrouvez plus de renseignements dans l’article 113334 de la base de connaissances de Sophos.

  • Utiliser seulement l’algorithme AES-256 pour le chiffrement des données.
  • Utiliser SSL/TLS (SSL version 3 ou supérieure) pour la protection de la communication client/serveur.

    Retrouvez plus de renseignements à la section Sécurisation des connexions de transport avec SSL.

  • Empêcher toute désinstallation.

    Pour renforcer la protection des terminaux, vous pouvez empêcher la désinstallation locale de SafeGuard Enterprise dans une stratégie Paramètres de machine spécifiques. Définissez l'option Désinstallation autorisée sur Non et déployez cette stratégie sur les terminaux. Les tentatives de désinstallation sont annulées et les tentatives non autorisées sont journalisées.

    Si vous utilisez une version de démonstration, assurez-vous que vous paramétrez Désinstallation autorisée sur Oui avant que la version de démonstration n'expire.

    Appliquez la protection antialtération Sophos sur les terminaux utilisant Sophos Endpoint Security and Control.

Évitez le mode veille

Sur les ordinateurs protégés par SafeGuard Enterprise, il est possible que certains individus malintentionnés accèdent aux clés de chiffrement dans certains modes de veille. Tout particulièrement lorsque le système d'exploitation de l'ordinateur n'est pas arrêté correctement et que les processus en tâche de fond restent en cours d'exécution. La protection est renforcée lorsque le système d'exploitation est complètement arrêté ou mis en veille prolongée.

Formez les utilisateurs en conséquence ou considérez la désactivation centrale du mode veille sur les terminaux sans surveillance ou qui ne sont pas en cours d'utilisation :

  • Évitez le mode veille (attente/veille prolongée) ainsi que le mode de veille Hybride. Le mode de veille Hybride allie la mise en hibernation et la mise en veille. La définition d'un mot de passe supplémentaire après la reprise d'une session n'assure pas de protection complète.

  • Évitez de verrouiller les ordinateurs de bureau et de mettre hors tension les moniteurs ou de fermer les couvercles des portables en guide de protection si ce n'est pas suivi par une véritable mise hors tension ou en hibernation. La demande d'un mot de passe supplémentaire après la reprise d'une session ne fournit pas une protection suffisante.

  • Arrêtez vos ordinateurs ou mettez-les en hibernation. L'authentification au démarrage SafeGuard est toujours activée jusqu'à la prochaine utilisation de l'ordinateur. Ce dernier est ainsi totalement protégé.
    Remarque : Il est important que le fichier de mise en veille prolongée soit sur le volume chiffré. Généralement, il se trouve sur C:\.

    Vous pouvez configurer les paramètres d'alimentation appropriés de manière centralisée à l'aide d'Objets de stratégie de groupe ou localement via la boîte de dialogue Options d'alimentation du Panneau de configuration de l'ordinateur. Définissez l'action du bouton Veille sur Mettre en veille prolongée ou Arrêter.

Mettez en place d'une stratégie de mot de passe forte

Mettez en place une stratégie de mot de passe forte et imposez des changements de mot de passe à intervalles réguliers, surtout pour la connexion au terminal.

Les mots de passe ne doivent être partagés avec quiconque ni écrits.

Formez vos utilisateurs pour choisir des mots de passe forts. Un mot de passe fort suit les règles suivantes :

  • Il est assez long pour être sûr : il est conseillé d'utiliser au moins 10 caractères.
  • Il contient un mélange de lettres (majuscules et minuscules) ainsi que des caractères spéciaux ou des symboles.
  • Il ne contient pas de mot ou de nom fréquemment utilisé.
  • Il est difficile à deviner mais simple à se rappeler et à saisir correctement.

Ne désactivez pas l'authentification au démarrage SafeGuard

 FDE

L'authentification au démarrage SafeGuard fournit une protection de connexion supplémentaire sur le terminal. Avec SafeGuard Full Disk Encryption, elle est installée et activée par défaut. Pour une protection complète, ne la désactivez pas. Retrouvez plus de renseignements dans l’article 110282 de la base de connaissances de Sophos.

Protégez-vous contre l'injection de code

L'injection de code, par exemple à travers une attaque par chargement préalable de fichiers DLL, est possible lorsqu'un attaquant parvient à placer du code malveillant (comme des exécutables) dans des répertoires qui peuvent faire l'objet de recherches pour trouver du code légitime par le logiciel de chiffrement SafeGuard Enterprise. Pour écarter ce type de menace :

  • Installez le middleware chargé par le logiciel de chiffrement, par exemple un middleware de token, dans des répertoires inaccessibles aux attaquants externes. Il s'agit généralement de tous des sous-dossiers des répertoires Windows et Program Files.

  • La variable d'environnement PATH ne doit pas contenir de composants qui pointent vers des dossiers accessibles aux attaquants externes (voir ci-dessus).

  • Les utilisateurs standard ne doivent pas avoir de droits administratifs.